Emotet Malware está reapareciendo para realizar una exfiltración masiva de correo electrónico con una nueva forma de capacidad de infección para robar datos confidenciales de correo electrónico directamente del cliente de correo electrónico de las víctimas.
El equipo de US-Cert ya emitió una alerta por un ataque avanzado de malware Emotet que se dirige a los gobiernos, a los sectores público y privado de la manera más destructiva para robar información confidencial.
La nueva campaña de malware de Emotet surgió nuevamente con un nuevo módulo capaz de filtrar el contenido del correo electrónico y enviarlo a los atacantes.
Además, tiene algunas nuevas capacidades interesantes con esta nueva campaña que permite la captura de correo electrónico, examina el proceso de exfiltración y observa su distribución global.
Emotet Malware ya causó daños muy serios y afectó a muchos países. EE. UU. Es uno de los países seleccionados por Emotet que causó un gran daño tanto en el gobierno como en las redes privadas.
A diferencia del antiguo malware de Emotet que roba la lista de contactos mediante la API de mensajería de Outlook, esta nueva campaña usó una interfaz API que da acceso a una aplicación al correo electrónico.
El malware Old Emotet comprueba el módulo de configuración del cliente de correo electrónico, especialmente la clave de registro HKLM\Software\Clients\Mail\Microsoft Outlookpara filtrar los datos del correo electrónico.
Según kryptoslogic, el nuevo módulo, sin embargo, es más completo y también incluye asuntos y cuerpos de correo electrónico. Rastreará todos los correos electrónicos de cada subcarpeta en la carpeta raíz del mensaje interpersonal (IPM) y realizará las siguientes acciones
Verifique si el correo electrónico ha sido enviado/recibido ( PR_MESSAGE_DELIVERY_TIME) en los últimos 100e-9 * 15552000000 * 10000/3600/24 = 180 días;
Si es así, obtenga su remitente ( PR_SENDER_NAME_W, PR_SENDER_EMAIL_ADDRESS_W), destino ( PR_RECEIVED_BY_NAME_W, PR_RECEIVED_BY_EMAIL_ADDRESS_W), asunto ( PR_SUBJECT_W) y cuerpo ( PR_BODY_W).
Si el cuerpo tiene más de 16384 caracteres, se trunca a este tamaño más la cadena ....
Más adelante en este proceso de recolección, un módulo DLL pasa por Emotet desde el servidor C2 que inyecta el binario de carga útil en un nuevo proceso Emotet.
Más tarde, analiza todos los correos electrónicos en los clientes de correo electrónico comprometidos, guarda los resultados en un archivo temporal y espera a que esta nueva DLL a que la carga útil finalice el proceso, de lo contrario, mata después de 300 segundos.
Si el archivo temporal guardado tiene más de 116 bytes, entonces la DLL original emite una solicitud HTTP utilizando la API de WinINet que ayuda a enviar el archivo temporal al atacante a través del servidor C2.
“Si bien los operadores de Emotet simplemente se han movido a la extracción del lado del servidor, la recolección de datos en masa proporciona una capacidad analítica basada en datos armados que no debe subestimarse, dada la eficacia de las fugas de correos electrónicos quirúrgicos en el pasado reciente. ”Dijeron los investigadores.
Fecha actualización el 2021-11-01. Fecha publicación el 2018-11-01. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers